Decodificador JWT
Inspecione um token antes de perseguir o bug errado de autenticação. Decodifique headers, claims, algoritmos, assinaturas e estado de expiração.
Token codificado
Saída decodificada
O que é JWT?
JSON Web Token é um formato compacto para transportar claims entre sistemas. No debug do dia a dia, as perguntas úteis costumam ser simples: quem emitiu o token, para quem ele vale, quais permissões declara, qual algoritmo assinou e se já expirou.
Header
Mostra metadados do token, como typ, alg e às vezes kid, que aponta para a chave usada pelo emissor.
Payload
Contém claims como sub, iss, aud, exp, iat, roles, IDs de tenant ou dados de autorização específicos do app.
Assinatura
Protege o token contra adulteração quando o servidor o verifica com o segredo ou a chave pública esperada.
Expiração
A claim exp costuma ser a pista mais rápida no debug de auth. Um token bem formado ainda é inútil quando já saiu da janela de validade.
FAQ de JWT
JWTs são criptografados?
Normalmente não. JWTs padrão são codificados, não criptografados, então qualquer pessoa com o token consegue inspecionar header e payload. A assinatura protege apenas a integridade.
Decodificar um JWT confirma que ele é confiável?
Não. Decodificar só revela o conteúdo. Confiança exige verificar a assinatura contra o segredo ou chave pública esperada, além de checar emissor, audiência, expiração e regras do app.
O que acontece quando um token expira?
Se a claim exp está no passado, o servidor deve rejeitar o token e o cliente precisa autenticar de novo ou pedir um novo access token pelo fluxo correto de refresh.
Devo colar tokens de produção em um decodificador?
Trate tokens reais como credenciais. Use tokens curtos de teste quando possível e evite colar access tokens sensíveis de produção em qualquer ferramenta que você não controla.